Apache HTTP Server 'protocol.c'远程拒绝服务漏洞

Apache HTTP Server 'protocol.c'远程拒绝服务漏洞


发布日期:2015-04-15
更新日期:2015-04-21

受影响系统:

Apache Group HTTP Server 2.4.12
Apache Group HTTP Server 2.2.29

描述:

BUGTRAQ  ID: 74158

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。

Apache HTTP Server 2.2.29/2.4.12在实现上存在空指针间接引用,成功利用后可造成受影响应用崩溃。

<*来源:Nicholas Lemonias
 
  链接:
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Nicholas Lemonias ()提供了如下测试方法:

(..\httpd-2.2.29\server\protocol.c:1286)
(..\httpd-2.4.12\server\protocol.c:1286)

...

AP_CORE_DECLARE_NONSTD(apr_status_t) ap_content_length_filter(
ap_filter_t *f,
apr_bucket_brigade *b)
{
request_rec *r = f->r;
struct content_length_ctx *ctx;
apr_bucket *e;
int eos = 0;
apr_read_type_e eblock = APR_NONBLOCK_READ;

ctx = f->ctx;
if (!ctx) {
f->ctx = ctx = apr_palloc(r->pool, sizeof(*ctx));
ctx->data_sent = 0;
}

建议:

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/5b001d041f6b2c8647d6885528607957.html